Penetrasyon Testi nedir?
Penetrasyon Testi basitçe bilgisayar sistemlerinize dışarıdan gelebilecek hack saldırılarının bir simülasyonudur. Bu test sayesinde sisteminizde mevcut olan potansiyel tehlikeler önceden tespit edilip buna göre önlem almanız sağlanır. Bu testler için kullanılan üç method bulunmaktadır;

Bilgi olmadan (Kara Kutu): Bu yöntemde sistem hakkında hiç bir bilgi olmadan tamamen dışarıdan bir saldırganın yapabileceği potansiyel saldırılar simule edilir.

Kısmi bilgiyle (Gri Kutu): Bu yöntemde sistem hakkında bazı temel bilgiler test yapılacak kurumdan istenir. Bu bilgilerden yola çıkarak sistemde saldırılar simule edilir.

Tamamen bilgiyle (Beyaz Kutu): Bu yöntemde sistem hakkında tüm bilgiler test yapılacak kurumdan istenir. Bu bilgilerden yola çıkarak sistemde içerden ya da dışardan gelebilecek saldırılar simule edilir.

Neden Penetrasyon Testi yaptırmalıyım?
Düzenli olarak yapılan penetrasyon testleri şirketinizde bulunan bilgisayar sistemlerinin dışarıdan üçüncü bir göz vasıtasıyla sürekli olarak denetlenmesi ve dolaysı ile tamamen güvenli bir sistem oluşturmanızı sağlar. Tamamen güvenli olduğunu düşündüğünüz sistemlerde bile güvenlik zafiyetleri çıkabilmektedir. Bu nedenle şirketin güvenlik becerilerini üst düzeyde tutmak, potansiyel riskleri görüp önlem alabilmek, bilgisayar sistemlerine yaptığınız yatırımları garanti altına alabilmek, öngörülen planlarınızda güvenlik faktöründen kaynaklanabilecek kayıpları yaşamamak adına penetrasyon testleri yapılmalıdır.

Ayrıca OSSTMM, PCI, ISO27001... gibi standartlar penetrasyon testlerini kurumlar için zorunlu kılmaktadır.

Penetrasyon Testinin işleyişi nasıl olmalıdır?
Testlerin tam verimli olarak uygulanması için öncelikle kuruluştaki mevcut bilgisayar sistemlerinin hacmi analiz edilmelidir. Buna göre test sıklığı ve test bölgeleri (ağ denetimi, veritabanı denetimi, web sunucusu denetimi vs.) belirlenmelidir. Yapılacak plan doğrultusunda sistemler belirli periyotlarla teste tabi tutulup test sonuçları rapor halinde kuruluşa sunulmaktadır.